Dans une délibération du 15 mai 2025 (SAN-2025-001), la CNIL a infligé une sanction à un prestataire de services marketing pour manquement aux règles relatives à la prospection commerciale électronique, à la preuve du consentement et à la licéité de la transmission de données. Cette décision marque un renforcement de la régulation du marketing indirect et appelle les professionnels à une vigilance accrue.
Le consentement en ligne : le nerf de la guerre
La montée en puissance d’une responsabilité élargie du marketing digital
La société condamnée par la CNIL proposait à ses clients annonceurs des services de prospection commerciale reposant sur une base de données interne alimentée par des tiers, qualifiés de "primo-collectants". Elle procédait ainsi, pour le compte de ses clients, à l’envoi de SMS ou de courriels commerciaux à des millions de prospects, dont les données étaient collectées via des jeux-concours ou formulaires en ligne, présentés comme anonymes ou promotionnels.
Dans cette affaire, la CNIL confirme une extension de la responsabilité du traitement à l’ensemble de acteurs de la chaîne de valeur, y compris dans les hypothèses où les données sont collectées par des partenaires tiers. La formation restreinte de la CNIL rappelle que l’identification contractuelle du rôle (responsable ou sous-traitant) ne suffit pas si les faits révèlent une maîtrise effective des finalités et des moyens par la société attaquée.
Ainsi, dès lors que la société détermine l’usage des données, les règles du RGPD lui sont intégralement applicables, y compris l’obligation d’en garantir la licéité, ce qui inclut la vérification du consentement à la base du traitement.
Des pratiques problématiques ciblées par la CNIL
La décision de la CNIL repose sur l’article L. 34-5 du Code des postes et communications électroniques, qui interdit toute prospection électronique sans le consentement préalable des personnes. L’analyse rigoureuse des formulaires collectés par les partenaires de la société attaquée révèle une série de pratiques critiquables :
• boutons d’acceptation surdimensionnés et visuellement mis en avant.
• lien de refus peu visible, souvent perdu dans un paragraphe dense.
• terminologie ambiguë ("Je valide" au lieu de "J’accepte la prospection").
La CNIL estime, dans la ligne de l’arrêt Planet49 (CJUE, 1er octobre 2019, aff. C 673/17), que ces mécanismes de recueil sont délibérément biaisés et ne permettent pas un consentement libre et univoque. Elle refuse toute approche formaliste du consentement, en rappelant que la réalité du parcours utilisateur et son expérience concrète, doivent primer.
Ce raisonnement conduit à une responsabilisation accrue des professionnels vis-à-vis des interfaces utilisées, même lorsqu’elles sont conçues par des tiers. La CNIL confirme ainsi que le design des formulaires relève désormais d’un contrôle juridique à part entière, rejoignant les problématiques des « dark patterns » et d’éthique du design.
Les obligations imposées par la CNIL
Le devoir de vérification et la charge de la preuve : une double obligation
La CNIL distingue en l’espèce deux types de manquements :
• l’absence de validité du consentement (art. L. 34-5 CPCE) ;
• l’incapacité à prouver l’existence du consentement (art. 7 RGPD).
En l’occurrence, l’entreprise en cause a produit des formulaires non conformes et n’a pas pu fournir les preuves des modalités de recueil du consentement par son partenaire. En outre, malgré des obligations contractuelles claires, et bien qu’elle n’ait reçu aucun retour de ce dernier pendant 17 mois, elle a poursuivi l’exploitation des données.
La CNIL souligne que le responsable du traitement – en l’espèce, l’entreprise sanctionnée - doit être en mesure de démontrer la validité du consentement, même s’il ne l’a pas lui-même recueilli. Les entreprises doivent désormais mettre en place un dispositif autonome de traçabilité et d’audit du consentement, y compris sur la base d’éléments fournis par des partenaires.
Ce point cristallise une difficulté opérationnelle : comment garantir une preuve valable quand on délègue la collecte ? La CNIL apporte, de manière implicite, une réponse radicale à cette question : soit l’entreprise met en place un système robuste de preuve, soit elle renonce à traiter les données concernées.
L’intérêt légitime, base légale sous haute surveillance
La CNIL a également sanctionné la société en cause pour avoir transmis à ses clients des segments de données issues de sa base à des fins de prospection postale ou téléphonique, en invoquant l’intérêt légitime comme base juridique (art. 6-1-f RGPD).
Or, la CNIL rappelle que pour que cette base soit valable, encore faut-il que :
1. Le traitement réponde à un véritable intérêt légitime.
2. Le traitement soit nécessaire à cet objectif.
3. Les droits et intérêts des personnes ne prévalent pas.
Dans ce contexte, l’absence de relation directe entre la société incriminée et les personnes concernées, et le fait que celles-ci ne puissent raisonnablement s’attendre à cette réutilisation de leurs données, emporte l’illégalité du traitement. La CNIL souligne aussi l’importance d’une information claire et accessible dès la collecte, ainsi que l’existence d’une option effective d’opposition.
Cette grille d’analyse renforce l’approche téléologique du RGPD : l’intention légitime du responsable ne suffit plus : elle doit s’inscrire dans un cadre d’attentes raisonnables et de transparence vérifiable.
Quelles conséquences pour les acteurs du marketing et de la data ?
Cette décision impose aux professionnels trois adaptations majeures :
- un audit rigoureux de la chaîne de collecte : les partenariats de données doivent être documentés, vérifiés, et audités en continu, la traçabilité devient centrale.
- refonte des interfaces de consentement : le marketing ne peut plus reposer sur des formulaires opaques et le design devient un enjeu de conformité ; la CNIL, sous l’impulsion de la Cour de justice, émet de vraies recommandations concernant le design et les conditions que doivent remplir de tels formulaires ;
- une veille active sur la base juridique du traitement : l’intérêt légitime n’est plus une échappatoire ; chaque traitement doit être adossé à une attente explicite et compréhensible des personnes.
En somme, la CNIL pousse les acteurs à passer d’une logique de conformité passive à une logique de conformité démontrable et proactive. Pour nombre d’opérateurs, cette exigence implique une transformation de leur chaîne de valeur et une montée en compétence juridique.
Cette décision majeure impose aux professionnels du marketing digital de sortir de l’ambiguïté contractuelle et de prendre pleinement la mesure de leurs responsabilités. Rappelons enfin que les précautions imposées par le RGPD s’appliquent à tous les domaines afin de protéger les données des utilisateurs.
Inscrivez-vous à la newsletter Livv
et recevez chaque semaine des informations exclusives en droit des affaires. En savoir plus